Política de Resposta a Incidentes - PME

A Política de Resposta a Incidentes (P30S) foi concebida especificamente para pequenas e médias empresas (PME) que procuram protocolos robustos em conformidade com a ISO/IEC 27001:2022, sem exigir um Centro de Operações de Segurança (SOC) interno ou um Diretor de Segurança da Informação (CISO) a tempo inteiro. Esta política para PME atribui explicitamente a responsabilidade pela supervisão de incidentes e pelas notificações regulamentares ao Diretor Executivo (DE), fornecendo uma estrutura clara adequada a organizações com recursos de TI dedicados limitados. O documento detalha requisitos que permitem às PME minimizar danos, proteger informação sensível e cumprir obrigações regulamentares críticas, como a regra de notificação de violação de dados em 72 horas do RGPD. O âmbito é amplo e abrange todo o pessoal (trabalhadores e prestadores de serviços, contratados, prestadores de serviços terceiros de TI), todos os ativos técnicos (websites, plataformas em nuvem, contas de correio eletrónico e dispositivos móveis) e todas as formas significativas de incidente (desde acesso não autorizado a infeção por malware, ataques de phishing, interrupções de sistemas e perda/roubo de dispositivos). A política estabelece objetivos detalhados: reconhecimento rápido, registo de auditoria, escalonamento, notificação legal, contenção eficaz, recuperação de dados e prevenção baseada em causa raiz. Também apoia as PME a passar auditorias ISO/IEC 27001 e a demonstrar responsabilização adequada perante clientes e reguladores. Papéis e responsabilidades específicos são simplificados para se adaptarem ao contexto de PME: o DE mantém a responsabilidade global, apoiado por administração de TI interna ou externalizada. Trabalhadores e prestadores de serviços são instruídos a notificar qualquer incidente imediatamente, sem tentar correções não autorizadas. Fornecedores externos são obrigados a notificar o DE e a apoiar ações de contenção de acordo com as obrigações de conformidade e os requisitos contratuais, sujeitos aos mesmos prazos de notificação que os incidentes internos. A política define procedimentos estruturados de notificação, incluindo canais de comunicação claros (correio eletrónico dedicado a incidentes ou reporte verbal), detalhes obrigatórios (hora de descoberta, natureza, sistemas afetados e impacto observável) e categorização no prazo de uma hora. Os registos de incidentes, mantidos pelo DE, estão no centro da manutenção de registos para auditorias. Revisões trimestrais, análises de causa raiz e atualizações pós-incidente asseguram eficácia contínua e capacidade de resposta a ameaças emergentes. O documento também detalha requisitos de formação e sensibilização para todo o pessoal, integração, sessões de formação de reciclagem e expectativas obrigatórias de notificação. As disposições de aplicação e conformidade determinam que todas as entidades, incluindo terceiros, cumpram integralmente: falhas ou violações de protocolo podem resultar em avisos, revogação de acessos, penalizações contratuais ou remoção de listas de fornecedores. Toda a evidência e registos devem ser mantidos por, pelo menos, um ano e disponibilizados para auditorias conforme necessário. Mecanismos de revisão abrangentes asseguram que a política permanece alinhada com normas em evolução, alterações regulamentares e mudanças operacionais, mantendo-se responsiva e relevante para PME.